2CMV23-00431-01 CSIRT alerta de nueva campaña de phishing con malware Agent Tesla
En su lugar, el documento adjunto incluye al malware conocido como Agent Tesla, el que sustrae información confidencial y la envía a los atacantes.
Resumen
|
El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT de Gobierno) ha identificado una nueva campaña de phishing con malware que suplanta a la empresa Pevisa con una falsa solicitud de compra. En su lugar, el documento adjunto incluye al malware conocido como Agent Tesla, el que sustrae información confidencial y la envía a los atacantes. Para realizarlo, busca las credenciales de usuario que se almacenan en diferentes programas como navegadores, clientes de correo electrónico, clientes FTP/SCP, bases de datos, herramientas de administración remota, aplicaciones VPN y de mensajería instantánea. Más aún, este malware es capaz de robar datos que se encuentren en el portapapeles, grabar las pulsaciones del teclado (función de keylogger) y hacer capturas de pantalla. Finalmente, Agent Tesla envía la información sustraída por medio de correo electrónico, Telegram, o subiéndolos a algún sitio web o servidor de FTP. |
Indicadores de compromiso asociados
Archivos que se encuentran en la amenaza
SHA256
| Indicador | Relación |
| 510771c843a856eb15d763d0931002f6f297aed35b0ed9aac509d3bd6e7b964a | Factura de proforma___xlxs.7z |
| b0b873b46d9e024e7d59de49d506637f2bb31632465ccf88424ca1ab3c457b38 | Factura de proforma___xlxs.exe |
URL-Dominio
| Dominio | Relación |
| https://telemas[.]com.co/cdi/Djphbrnppqe.pdf | Validación |
| https://api.telegram[.]org/bot6548288330:AAGA-b1ojgiCCinc5YQor8R1kxgez4hPFpM/sendDocument | Comando y control |
MITRE ATT&CK
| Descripción | ID |
| Acceso Inicial (Mediante Phishing) | T1566.002 |
| Acceso a credenciales (Credenciales no aseguradas) | T1552 |
| Acceso a credenciales (Credenciales en Archivos) | T1552.001 |
| Colección (Datos del sistema local) | T1005 |
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 2CMV23-00431-01.